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(57) Abstract 



The invention concerns a method for storing data in data storage means of a security module. The invention is characterised in mat 
it consists in denning two storage zones (41, 42) whereof one (41) is designed to store data (a, b, c; d, e, f) by dispersed sections (a, b, c) 
(d\ e, f) and the other (42) is designed to store addresses (AA, 92) where the data sections are located. The storage in the second storage 
zone is carried out in positions which are based on the address (83, 86) of the data sections in the first storage zone (41), as defined before 
dispersion. The invention also concerns a method for operating data units in a security module, and the associated security module. 



(57) Abregd 

L'invention conceme un proc&le de stockage d' informations dans des moyens de stockage d' information d'un module de security. 
Selon r invention, on d6finit deux zones memoire (41, 42), dont une (41) est destinee a stocker les informations (a,b,c; d,e,f) par morceaux 
disperses (a,b,c), (d,e,f). V autre (42) est destinee a stocker des adresses (AA,92) ou se trouvent les morceaux d informations. Le stockage 
dans la seconde zone memoire s'effectue en des positions qui sont fonction de Tadresse (83,86) des morceaux d'informations dans la 
premiere zone memoire 41, telle que definie avant dispersion. L'invention conceme aussi un proc£d6 d' exploitation d'unites d'information 
dans un module de securit6, et le module de security assocte. 
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Proc6de de stockage et d'exploitation d'unites d' information dans un module 
de securite, et module de securite associ§ 

(.'invention concerne un procede de stockage et d'exploitation d'unit§s 
5 d'information dans un module de securite. Le terme "module de securite" doit 
etre pris, soit dans son sens classique dans lequel il designe un dispositif 
ayant vocation, dans un reseau de communication ou d'information, a etre 
detenu par un organisme supervisant le reseau et a stocker de fagon protegee 
des parametres secrets et fondamentaux du reseau tels que des cles 

10 cryptograph iques, soit comme designant plus simplement un dispositif attribu6 
d divers usagers du reseau et permettant a chacun d'eux d'avoir acces a 
celui-ci, ce dernier dispositif etant lui aussi susceptible de detenir des 
parametres secrets. Le module de securite pourra prendre la forme d'un objet 
portatif du type carte a puce. 

15 On sait qu'un fraudeur est susceptible de lire ou d'alterer des 

informations contenues dans des moyens de stockage d'information, 
notamment dans des memoires de puces 6lectroniques, en utilisant selon les 
cas un microscope electronique ou des moyens de production de 
rayonnements. Toutefois, pour etre efficace, il iui faut non seulement acceder 

20 aux informations stockees, mais aussi identifier la fonction de ces 
informations dans le fonctionnement du module de securite. 

Le but principal de Tinvention est de proposer un procede de stockage 
d' informations permettant de rendre beaucoup plus difficile le reperage de la 
fonction attribute a chacune des informations stockees. 

25 Uinvention concerne a cet effet un procede de stockage ^informations 

dans des moyens de stockage d'information d'un module de securite, 
caracterise en ce qu'il comprend les 6tapes consistant a : 

-definir, dans les moyens de stockage, une premiere zone memoire 
destinee a stocker des informations, accessibles en designant des adresses 

30 logiques ; 
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-definir, dans les moyens de stockage, une seconde zone m6moire 
destinSe a stocker des adresses physiques de ces informations d6finissant 
leur position dans la premiere zone memoire, ces adresses physiques 6tant 
situees en une position qui est fonction des adresses logiques respectives 
5 des informations ; 

-stocker les informations dans la premiere zone memoire en une 
position qui est fonction de leurs adresses logiques respectives, et les 
adresses logiques de ces informations dans la seconde zone m6moire en 
une position qui est fonction de ces adresses logiques ; et 
10 -permuter deux & deux les adresses logiques des unites d'information 

dans la seconde zone memoire pour definir leurs adresses physiques et, 
apres chaque permutation, permuter les deux unites d'information 
correspondantes dans la premiere zone memoire, ou vice versa. 

15 En variante, le procede de stockage d'informations dans des moyens 

de stockage d'information d'un module de securite, est caracterise en ce qu'il 
comprend les etapes consistant a : 

-definir, dans les moyens de stockage, une premiere zone memoire 
destin§e a stocker des informations, accessibles en d6signant des adresses 

20 logiques ; 

-definir, dans les moyens de stockage, une seconde zone memoire 
destinee a stocker des adresses physiques de ces informations definissant 
leur position dans la premiere zone memoire, ces adresses physiques etant 
situees en une position qui est fonction des adresses logiques respectives 
25 des informations ; 

-stocker aleatoirement dans la seconde zone memoire les adresses 
logiques des informations pour definir des adresses physiques de ces 
informations ; et 

-stocker les informations dans la premiere zone memoire en une 
30 position qui est fonction de leurs adresses physiques respectives. 



WO 00/36511 



PCT/FR99/03086 



3 

Ainsi, les informations se trouvent §tre dispersees dans les moyens de 
stockage, ce qui empeche en pratique leur reperage. Des perfectionnements, 
exposes dans le present document, permettent en outre de proteger encore 
davantage les informations stock^es. 

^invention concerne aussi un procede d'exploitation et un module de 
securite correspondants. 

D'autres details et avantages de la presente invention apparaitront au 
cours de la description suivante, d'un mode d'execution pr6f6re mais non 
limitatif, en regard des dessins annexes sur lesquels : 

La figure 1 represente un dispositif de traitement de donnees coop6rant 
avec un module de s6curit§ ; 

La figure 2 represente une variante de module de securite ; 

La figure 3 represente une memoire volatile d'un module de securite , 
incorporant deux zones memoire particulieres, constituant respectivement 
une memoire RAM securisee et une matrice de dispersion ; 

La figure 4 represente la memoire de la figure 3, apres dispersion des 
unites d'information de la memoire RAM securisee 41 ; 

La figure 5 est une variante de la figure 4, ou les unites d'information 
occupent chacune une seule cellule de m6moire ; 

La figure 6 illustre le reperage des cellules a partir d'un pointeur ; 

La figure 7 est un organigramme d'une procedure d'inversion de deux 
cellules de la matrice de dispersion ; 

Les figures 8 a 10 represented la memoire volatile, lors de trois etapes 
successives de la procedure de la figure 7 ; 

La figure 1 1 est un organigramme d'une procedure d'inversion de deux 
cellules de la m6moire RAM securisee, faisant suite § la procedure de la 
figure 7 ; 

Les figures 12 a 14 represented la memoire volatile, lors de trois 
etapes successives de la procedure de la figure 1 1 ; et 
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La figure 15 est un organigramme d'une proc6dure de permutation 
multiple des cellules de la memoire RAM securis6e. 



5 La figure 1 represente un dispositif de traitement de donnees 1 

cooperant avec un objet portatif 8. Le dispositif de traitement de donn6es 
comprend de fa$on connue en soi un microprocesseur 2 auquel sont relies 
une memoire ROM 3, et une m6moire RAM 4, des moyens 5 pour coop6rer, 
avec ou sans contact physique, avec I'objet portatif 8, et une interface de 

10 transmission 7 permettant au dispositif de traitement de donnees de 
communiquer avec un r6seau de communication de donnees. Le dispositif de 
traitement de donnees 1 peut en outre fetre equipe de moyens de stockage 
tels que des disquettes ou disques amovibles ou non, de moyens de saisie 
(tels qu'un clavier et/ou un dispositif de pointage du type souris) et de moyens 

15 d'affichage, ces differents moyens n'etant pas represents sur la figure 1 . 

Le dispositif de traitement de donnees peut etre constitu§ par tout 
appareil informatique installe sur un site prive ou public et apte £ fournir des 
moyens de gestion de Pinformation ou de delivrance de divers biens ou 
20 services, cet appareil etant installe a demeure ou portable. II peut notamment 
s'agir aussi d'un appareil dedie aux telecommunications. 



Par ailleurs, I'objet portatif 8 porte une puce incluant des moyens de 
traitement de I'information 9, une memoire non volatile 10, une m6moire 

25 volatile de travail RAM 14, et des moyens 13 pour cooperer avec le dispositif 
de traitement de donn6es 1. Cette puce est agenc6e pour dSfinir, dans la 
memoire 10, une zone secrdte 11 dans laquelle des informations une fois 
enregistr6es, sont inaccessibles depuis I'exterieur de la puce mais seulement 
accessibles aux moyens de traitement 9, et une zone accessible 12 qui est 

30 rendue accessible depuis I'exterieur de la puce par le microprocesseur 9 pour 
une lecture et/ou une ecriture d'informations. Chaque zone de la memoire non 
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volatile 10 peut comprendre une partie non modifiable ROM et une partie 
modifiable EPROM, EEPROM, ou constitute de memoire RAM du type 'flash" 
ou FRAM (cette derniere etant une m6moire RAM ferromagn6tique), c'est-£- 
dire presentant les caract6ristiques d'une memoire EEPROM avec en outre 
5 des temps d'accds identiques a ceux d'une RAM classique. 

En tant que puce, on pourra notamment utiliser un 
microprocesseur autoprogrammable a memoire non volatile, tel que d§crit 
dans le brevet americain n° 4.382.279 au nom de la Demanderesse. Comme 

10 indique en colonne 1, lignes 13-25 de ce brevet, le caractere 
autoprogrammable de la puce correspond a la possibility pour un programme 
fi situe dans une memoire ROM, de modifier un autre programme fj situ§ 
dans une memoire programmable en un programme gj. Dans une variante, 
le microprocesseur de la puce est remplace - ou tout du moins complete - par 

15 des circuits logiques implantes dans une puce a semi-conducteurs. En effet, 
de tels circuits sont aptes a effectuer des calculs, notamment 
d'authentification et de signature, grace a de I'electronique cablee, et non 
microprogrammee. lis peuvent notamment etre de type ASIC (de I'anglais 
« Application Specific Integrated Circuit »). 

20 Une variante de la figure 1 est illustree sur la figure 2, ou le dispositif 

de traitement de donnees 16 comprend, outre les Elements du dispositif de 
traitement de donnees 1 de la figure 1, ceux de I'objet portatif 8 disposes 
dans un module 15, les elements communs aux deux figures 1,2 portant les 
memes references. Toutefois, les moyens de cooperation 5,13 de la figure 1 

25 sont remplaces par une liaison permanente entre le microprocesseur 2 et le 
microprocesseur 9. 

Selon une variante de la figure 2, le dispositif de traitement de 
donnees est constitu§ par le module 15 de la figure 2 lui-m&me. 

30 Selon I'invention, I'emplacement physique et \a structure d'une 

information sensible dans une des memoires de I'objet portatif 8 ou du 
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module 1 5 evolue dans le temps de fa?on aleatoire. Soit S un ensemble de n 

cellules mSmoire (cO, d, c2, c(n-1)) et f une fonction de dispersion 

propre a disperser le contenu d'une quelconque cellule q depuis une 
adresse originelle jusqu'3 une adresse dispersee f(Q). La fonction f v6rifie les 
deux proprigtes suivantes : 

c,*q => f(c,)*f(q) 

d e S => f(Cj) g S 

(ou <= est un symbole signifiant « appartenant d ») 

A titre d'exemple, est representee sur la figure 3 la structure de la 
memoire RAM 14 de I'objet portatif 8 ou du module 15. Elle comporte seize 
colonnes identifiees par les chiffres 0 a 9 puis par les lettres A a F (notation 
hexadecimale), ainsi que dix lignes identifiees par les chiffres 6 £ 9 puis par 
les lettres AaF, Ces lignes et colonnes definissent cent soixante cellules 
reperees depuis la cellule 60 ( c'est-a-dire ligne 6, colonne 0) jusqu'a ia 
cellule FF ( c'est-a-dire ligne F, colonne F). Chaque cellule stocke un octet 
binaire. 

La memoire RAM est decomposee en trois zones differentes. Une 
premiere zone 41 comprend les cellules 80 a AF et est nomm6e « memoire 
RAM s6curisee » car son contenu va etre securise au moyen de la fonction f 
precitee : c'est dans cette zone que vont etre stockees des informations 
sensibles a proteger. Une deuxieme zone 42 comprend les cellules BO a BF 
et est nommee « matrice de dispersion » car elle va etre utilisee pour 
disperser les informations sensibles dans la memoire RAM securis6e. Enfin, 
une troisieme zone 43, dite « memoire RAM standard », comprend les 
cellules restantes, a savoir 60 a 7F et CO a FF : elle est utilisee pour stacker 
les informations non sensibles. On notera que si, dans cet exemple, la 
memoire RAM securisee et la matrice de dispersion sont composees de 
cellules contigues, elles pourraient, en variante, §tre composees de cellules 
non contigues. 
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Selon une forme de realisation pr6feree, I'ensemble des informations 
stock§es dans la m6moire RAM s§curisee est decompos6 en plusieurs 
6l6ments appeles « unites d'information » comprenant chacune un meme 
nombre determine de cellules. Dans Texemple des figures 3 et 4, chaque 
unite d'information est entouree d'un trait fort et comprend trois cellules : on 
distingue par exemple I'unite d'information (a.b.c) dont le contenu est reparti 
dans les cellules d'adresse respective 83, 84, et 85, I'unite d'information 
(d t e,f), et I'unite d'information (g,h,i). L'ensemble des deux unites 
d'information (a,b,c) et (d,e,f) contigues constituent une information I 
complete telle que par exemple un mot de passe. 

Quant a la matrice de dispersion 42, sa taille est fonction du nombre 
d'unit§s d'information pouvant etre contenues dans la memoire RAM 
securisee, puisqu'elle comprend, pour chaque unite d'information, une cellule 
particuliere. Dans cet exemple, la memoire RAM securis6e comprend 
quarante-huit cellules, done trois fois moins d'unites d'information , soit seize 
cellules BO a BF. A chaque unit6 d'information est associee une cellule de la 
matrice de dispersion qui occupe, dans la zone memoire consid6r6e, un rang 
qui est une fonction particulidre d'un rang occupe par I'unite d'information 
dans la memoire RAM securisee 41. Dans cet exemple, la fonction est 
Ndentite, de sorte qu'a chaque unite d'information est associee une cellule 
de la matrice de dispersion qui occupe un meme rang dans la zone memoire 
consideree. Par exemple, £ I'unite d'information (a,b,c) qui possede le rang 2 
dans la memoire RAM securisee est associee la cellule B1 qui possede le 
meme rang dans la matrice de dispersion. De la meme fa$on, I'unite 
d'information (d,e,f) est associee a la troisieme cellule B2, et I'unite 
d'information (g.h.i) a la quinzieme cellule BE. Mais, dans une variante, ladite 
fonction G peut etre plus complexe, le rang rj de la cellule de la matrice de 
dispersion resultant d'une formule mathematique determinee a partir du rang 
n de I'unite d'information, selon la formule : rj = G(n). Un exemple est le 
suivant, dans le cas present ou seize rangs sont definis : rj = 17 - n 
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Par definition, I'adresse d'une unite d'information est constitute par 
I'adresse de la premiere cellule qu'eile concerne : ainsi, I'adresse de I'unite 
d'information (a,b,c) de la figure 3 est 83, adresse de sa premiere cellule 
contenant reformation (a), tandis que I'adresse de I'unite d'information (g,h,i) 
est AA. Sur la figure 3, les unites d'information sont dispos6es d des 
adresses dites « adresses logiques », correspondant aux adresses qu'il 
faudra fournir a I'objet portatif pour qu'il traite ces unites d'information. Une 
procedure d'initialisation de la memoire RAM 14 va maintenant etre exposee, 
permettant de definir un §tat initial de rangement des unites d'information 
dans la memoire RAM s6curisee 41 . Dans une premiere phase, on remplit la 
matrice de dispersion 42 avec les adresses des unites d'information pouvant 
etre stock6es dans la memoire RAM securisee 41 , ces adresses etant tirees 
de fagon aleatoire. Sur la figure 4, seulement trois de ces adresses sont 
representees : AA, 92, et 98. Dans une deuxieme phase, on rentre les unites 
d'information a stacker dans la memoire RAM securisee 41, en fonction des 
adresses contenues dans la matrice de dispersion. Par exemple, on dispose 
I'unite d'information (a,b,c) a I'adresse contenue dans la cellule de la matrice 
de dispersion qui est associee a cette unite d'information : nous avons vu 
qu'il s'agissait de la cellule de rang 2. On dispose done cette unite 
d'information a I'adresse AA. De la meme fagon, on range i'unite 
d'information (d.e.f) a I'adresse 92, et I'unite d'information (g.h.i) a I'adresse 
98. Les adresses contenues dans la matrice de dispersion de la figure 4 sont 
dites « adresses physiques » car elles vont determiner I'emplacement reel 
des unites d'information dans la memoire RAM securisee 41. Sur la figure 4, 
la memoire RAM securisee 41 est bien dans un etat dit « securise » puisque 
ses unites d'information ont ete dispersSes par rapport a I'etat de la figure 3. 

Une autre procedure d'initialisation de la m6moire RAM 14 va 
maintenant etre exposee, en variante. Dans une premiere phase, on remplit 
la matrice de dispersion avec les adresses logiques des unites d'information. 
Ainsi, on met dans la premiere cellule I'adresse correspondant £ la premidre 
unite d'information, soit 80. On met dans la deuxieme cellule I'adresse 
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logique correspondant a la deuxieme unit6 d'information (a,b,c), soit 83, 
etc... Dans une deuxieme phase, on remplit la memoire RAM s6curis6e 41 en 
fonction des adresses contenues dans la matrice de dispersion. Ainsi, et 
comme represente sur la figure 3, on range I'unite d'information (a,b,c) au 
5 deuxieme rang, I'unite d'information (d,e,f) au troisieme rang, etc.Enfin, 
dans une troisieme phase, on disperse deux par deux les unites 
d'information de la memoire RAM securisee 41, en utilisant un proc6d6 de 
permutation 6l6mentaire decrit plus loin, jusqu'a ce que toutes les unites 
d'information aient ete deplacees. En variante, on aurait pu intervertir les 

1 0 premiere et deuxieme phases. 

En fonctionnement, lorsque le microprocesseur executera un 
programme demandant I'accds a une information telle que I'information I 
precitee en d§signant les adresses logiques 83 et 86, le microprocesseur 
consultera la matrice de dispersion 42. II lira la premiere adresse physique 

15 ecrite dans la cellule de rang 2, a savoir AA, puis il ira lire le contenu de 
I'unite d'information (a.b.c) a partir de cette adresse en memoire RAM 
securisee. Puis il lira la seconde adresse physique ecrite dans la cellule de 
rang 3, a savoir 92, puis il ira lire le contenu de I'unite d'information (d,e,f) a 
partir de cette adresse en memoire RAM securisee : il aura alors reconstitue 

20 Tinformation I. 



Selon la premiere forme de realisation decrite ci-dessus, on disperse 
les information dans la memoire RAM securisee en en modifiant la structure, 
c'est-a-dire I'ordre dans lequel sont disposees les unites d'informations dans 

25 les cellules composant I'information consideree, sans toutefois atteindre un 
degre maximal de dispersion. Au contraire, la variante de la figure 5 permet 
d'atteindre ce but Dans cet exemple, chaque unite d'information correspond 
£ une seule cellule de la memoire RAM securisee 41 : il s'ensuit que la 
matrice de dispersion 44 comprend autant de cellules que la mSmoire RAM 

30 securisee , a savoir quarante-huit, disposees entre les adresses BO et DF. 
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Apres ecriture, dans la matrice de dispersion 44 de Tensemble des 
adresses des unites d'information, puis modification aleatoire de ces 
adresses comme explique pour I'exemple precedent, on obtient la matrice de 
dispersion de la figure 5 ou n'ont et6 representees que les adresses 
5 physiques des neuf unites d'information (a a i) figurant dans la memoire RAM 
securisee de la figure 3. Par exemple, I'adresse physique de I'unitd 
d'information (b) est stockee dans la cellule de meme rang que (b), a savoir 
le rang 5 : cette adresse est done 96. De meme, I'adresse physique de I'unite 
d'information (g) est situee dans la cellule DA de la matrice de dispersion et 
10 vaut9C. 

Ensuite, le microprocesseur de la carte disperse les unites 
d'information (a a i) dans la memoire RAM securisee, en fonction de 
I'adresse physique se trouvant dans la matrice de dispersion 44. Par 
exemple, I'unite d'information (c) est stockee dans la cellule de la mSmoire 

15 RAM securisee 41 dont I'adresse est ecrite dans la cellule B5 de la matrice 
de dispersion 44, a savoir I'adresse 8F. De meme, Tunite d'information (f) a 
pour adresse physique la valeur AB ecrite en cellule B8. 

On constate que, dans ce deuxieme exemple, Tinformation I form6e 
des six informations elementaires (a a f) se suivant de fapon contigue sur la 

20 figure 3, se trouve decomposee a tel point que les six informations (a a f) ne 
sont plus du tout contigues. Naturellement, cette propriete est de nature a 
renforcer la securite, puisque le travail d'un fraudeur pour reconstituer le 
groupe d' informations (aaf)a partir de la memoire RAM securisee , dans 
I'etat ou elle se trouve sur la figure 5, est encore plus complique qu'£ partir 

25 de la memoire RAM securisee de la figure 4. En regie generate, plus grand 
sera le nombre de cellules dans chaque unite d'information, plus faible sera 
la protection des informations sensibles. 

Dans ce qui suit, I'adresse de chaque cellule de chaque zone de la 
30 memoire RAM 14 est definie par un decalage determine par rapport a une 
origine constitute par I'adresse de la premiere cellule de la zone, ceci en 
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raison d'un mode d'adressage particulier a un certain type de 
microprocesseurs. En variante, on pourrait naturellement d6finir una adresse 
absolue de chaque cellule, independemment des autres cellules, comme 
cela a 6t6 fait en relation avec les figures 3 a 5. 

En reference a la figure 6, repr6sentant a nouveau la structure de 
memoire RAM de la figure 5, soit pRamSec un pointeur s§lectionnant la 
premiere cellule 45 de la memoire RAM securisee et pMat un pointeur 
selectionnant la premiere cellule 46 de la matrice de dispersion. Une 
quelconque cellule de la matrice de dispersion contient une valeur 
representant un decalage par rapport au pointeur pRamSec. Supposons que 
le microprocesseur ait a atteindre le contenu d'une cellule 47 de la memoire 
RAM securisee dont il connalt Tadresse logique definie comme suit : 

pRamSec + decalage logique 
Uadresse physique correspondante est donnee par : 

pRamSec + decalage physique 
sachant que (d§calage physique) est egal au contenu de la cellule 48 de la 
matrice de dispersion qui est homologue de la cellule 47, c'est-S-dire qui 
possede la mime position matricielle ; la cellule 48 a I'adresse suivante : 
pMat + decalage logique. 

On sait desormais determiner I'adresse physique d'une cellule a 
adresser, £ partir de son adresse logique : une lecture a cette adresse 
physique nous donne done une valeur stockee a cette adresse. 

On decrit maintenant un proc6de prefere pour effectuer une 
permutation 6lementaire du contenu de deux cellules de la memoire RAM 
securisee tirees au hasard, en regard des figures 7 a 10. Tout d'abord, et 
comme illustre par I'etape 71 de la figure 7, le microprocesseur 9 effectue un 
tirage aleatoire de deux nombres parmi un ensemble constitu6 par les 
adresses de toutes les cellules de la memoire RAM securisee 41, definies 
par leur decalage logique : les quarante-huit cellules sont d6finies par un 
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decalage logique ayant une valeur comprise entre 0 et 47. Par exemple, les 
valeurs 4 et 8 sont tirSes : elles sont alors stockees dans deux cellules C1 et 
C2 de la mSmoire RAM standard 43, selon I'Stape 72 de la figure 7, le 
resultat Stant represents sur la figure 8. A I'Stape 73, le contenu de la cellule 
5 de la matrice de dispersion 44 repSrSe par le decalage logique contenu dans 
la cellule C1 est stocks dans une cellule C3 de la memoire RAM standard 43 
: le dScalage logique Stant 4, I'adresse logique correspondante est pMat + 4, 
relative £ la cellule B4 dont le contenu est 22. Le resultat est reprSsentS sur 
la figure 8. Ensuite, a I'Stape 74, on stocke le contenu de la cellule de la 

10 matrice de dispersion repSrSe par la cellule C2 dans la cellule reperee par la 
cellule C1 : le decalage logique contenu dans la cellule C2 est 8, qui dSsigne 
la cellule d'adresse pMat+8, soit la cellule B8 : son contenu 43 est dispose 
dans la cellule d'adresse pMat+4, soit la cellule B4. Le rSsultat est 
represents sur la figure 9. Enfin, a I'etape 75, le contenu de la cellule C3 est 

15 stocke dans la cellule de la matrice de dispersion 44 reperee par le contenu 
de la cellule C2, a savoir la cellule d'adresse logique pMat+8, soit la cellule 
B8 : le resultat est represents sur la figure 10.On peut constater en 
observant les figures 8 et 10 que les valeurs de decalage logique 22 et 43 
ont StS interverties. 

20 Une permutation des adresses Stant intervenue en matrice de 

dispersion 44, il faut maintenant effectuer une permutation correspondante 
des donnees associSes a ces adresses en memoire RAM sScurisSe 41 . A 
I'etape 111 de la figure 11, on lit le contenu de la cellule de la memoire RAM 
sScurisSe 41 dont I'adresse logique est dSfinie par le contenu de la cellule 

25 C1. La valeur de decalage logique 4 renvoie a la cellule B4 de la matrice de 
dispersion, laquelle contient le decalage physique 43 : I'adresse 
correspondante en memoire RAM sScurisSe 41 est done pRamSec + 43, 
correspondant a la cellule AB. A I'Stape 112, le contenu de cette cellule est 
stocke dans la cellule C3, comme represents sur la figure 12. A I'etape 113, 

30 le microprocesseur lit le contenu de la cellule de la mSmoire RAM sScurisSe 
41 dont I'adresse est dSfinie par le contenu de la cellule C2. La valeur 8 
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renvoie a la cellule B8 de la matrice de dispersion contenant le d6calage 
physique 22 : I'adresse correspondante en memoire RAM securisee 41 est 
done pRamSec + 22, correspondant a la cellule 96, contenant la valeur b. A 
l'6tape 114, cette valeur est stockee dans la cellule de la memoire RAM 
5 securisee 41 dont le decalage logique est stocke dans la cellule C1 : le 
d6calage logique 4 correspond an decalage physique 43, lequel designe la 
cellule AB de la memoire RAM securisee 41 . Le resultat est represents sur la 
figure 13. Enfin, £ l'6tape 115, le microprocesseur stocke le contenu f de la 
cellule C3 dans la cellule de la memoire RAM securisee 41 ayant le decalage 

10 logique stocke dans la cellule C2 : il s'agit de la cellule d'adresse 96. Le 
resultat apparait sur la figure 14. En comparant les figures 12 et 14, on peut 
constater que les valeurs b,f ont bien 6te permutees. 

On peut verifier sur la figure 14 la correspondence entre les adresses 
permutees de la matrice de dispersion et les valeurs permutees de la 

15 memoire RAM securisee 41. Par exemple, selon la figure 3, la valeur (f) a 
une adresse definie par le decalage logique 8 soit, sur la figure 14, le 
decalage physique 22. On peut constater que la valeur f se trouve bien dans 
la cellule 96 poss6dant ce decalage physique. 

20 Dans la pratique, le microprocesseur effectuera, non pas une seule, 

mais un certain nombre de permutations elementaires constituant une 
permutation dite « multiple », selon la procedure de la figure 15. A I'etape 
151, le microprocesseur tire un nombre aleatoire AL1 : typiquement, ce 
nombre peut etre compris par exemple entre 0 et 256. A l'6tape 152, le 

25 microprocesseur initialise un compteur avec la valeur ALL A I'etape 153, le 
microprocesseur verifie que le compteur a une valeur positive. Dans 
raffirmative, il effectue une permutation elementaire selon la procedure des 
figures 7 et 1 1 , en tirant deux nombres aleatoires compris entre 0 et 47. A 
I'etape 155, le microprocesseur decremente le compteur d'une unite, puis il 

30 retourne a I'etape 153. Une fois que le compteur a atteint la valeur 0, il 
parvient a la fin de la permutation multiple , reperee en 156. 
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Le proced§ de permutation multiple qui vient d'§tre d6crit, ou procSde 
de regeneration de la matrice de dispersion, sera declenche a divers 
moments. II le sera tout d'abord apres chaque remise sous tension de la 
5 carte. II le sera aussi au cours d'une session d'utilisation de la carte, £ 
certains moments critiques, par exemple lorsque Ton traite une information 
sensible. Ainsi, le chargement du PIN (de Tanglais Personal Identification 
Number) en m6moire RAM securisee 41 suppose le transfert de huit octets 
vers cette memoire : on decide de declencher une regeneration de la matrice 

10 de dispersion apr6s chargement de chaque octet du PIN. Un autre exemple 
est celui ou une anomalie est detectee dans un registre de security de la 
carte. On rappelle qu'une carte inclut de fapon connue en soi une plurality de 
capteurs permettant de tester divers caracteristiques physiques de la carte, 
par exemple sa temperature, le taux de rayonnement auquel elle peut se 

15 trouver eventuellement soumis, la continuity electrique d'un ecran de 
protection contre les agressions mecaniques, etc.Uetat dans lequel se 
trouvent ces capteurs £ un moment donne est enregistr6 dans ledit registre 
de securite. On peut decider de tester a certains moments critiques I'etat du 
registre de securite, par exemple avant de traiter une information sensible et, 

20 si une anomalie est detectee, de declencher une regeneration de la matrice 
de dispersion. 

Selon une variante de Tinvention, la matrice de dispersion se trouve 
dans une memoire de la carte ou du module de securite qui est differente de 
25 celle constituant la memoire securisee. Ceci est particulierement avantageux 
si Ton recherche a economiser la memoire securisee. Par exemple, en 
reference a la figure 1 , la matrice de dispersion pourrait fetre en memoire non 
volatile 10. 

30 On notera qu'un resultat avantageux de Tinvention consiste en ce que 

le temps que met le microprocesseur pour avoir acces a Tune quelconque 
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des informations stockees dans la memoire RAM s6curisee 41 est constant. 
Cela est obtenu en associant les unites d'information £ leurs adresses en 
utilisant une correspondance matricielle (correspondance entre les cellules 
de la memoire RAM s§curisee 41 et eel les de la matrice de dispersion ). Ceci 
empdche tout fraudeur, observant le microprocesseur, d'effectuer des 
distinctions entre les acces aux differentes unites d'information, distinctions 
qui auraient pu lui fournir des renseignements sur les informations 
manipuldes. 
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REVENDICATIONS 

1. Module de securite comprenant des moyens de traitement de 
('information (9) et des moyens de stockage de rinformation (10,14), 
caract6ris§ en ce que les moyens de traitement (9) comprennent : 

-des moyens pour definir, dans les moyens de stockage (10,14), une 
premiere zone memoire (41) destinee a stocker des informations (a,b,c ; 
d,e,f), accessibles en designant des adresses logiques (83,86) ; 

-des moyens pour d§finir, dans les moyens de stockage (10,14), une 
seconde zone memoire (42) destinee a stocker des adresses physiques 
(AA.92) de ces informations d6finissant leur position dans la premiere zone 
m6moire (41), ces adresses physiques etant situees en une position qui est 
fonction des adresses logiques respectives des informations. 

2. Proc6de de stockage d'informations dans des moyens de stockage 
d'information d'un module de s§curit§, caracterise en ce qu'il comprend les 
etapes consistant a : 

-definir, dans les moyens de stockage (10,14), une premiere zone 
memoire (41) destinee £ stocker des informations (a,b,c ; d,e,f), accessibles 
en designant des adresses logiques (83,86) ; 

-d6finir, dans les moyens de stockage (10,14), une seconde zone 
memoire (42) destinee a stocker des adresses physiques (AA,92) de ces 
informations definissant leur position dans la premiere zone memoire (41), 
ces adresses physiques etant situees en une position qui est fonction des 
adresses logiques respectives des informations ; 

-stocker les informations dans la premiere zone memoire (41) en une 
position qui est fonction de leurs adresses logiques respectives, et les 
adresses logiques (83,86) de ces informations dans la seconde zone 
memoire (42) en une position qui est fonction de ces adresses logiques ; et 

-permuter deux a deux les adresses logiques (83,86) des unites 
^information (a,b,c ; d,e,f) dans la seconde zone m§moire (42) pour definir 
leurs adresses physiques et, apres chaque permutation, permuter les deux 
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unites conformation correspondantes dans la premiere zone m6moire (41), 
ou vice versa. 

3. Proc6d§ de stockage d'informations dans des moyens de stockage 
5 ^information d'un module de s§curit§, caracterise en ce qu'il comprend les 

etapes consistant & : 

-definir, dans les moyens de stockage (10,14), une premiere zone 

m§moire (41) destin6e £ stocker des informations (a,b,c; d,e,f), accessibles 

en d§signant des adresses logiques (83,86) ; 
10 -definir, dans les moyens de stockage (10,14), une seconde zone 

m§moire (42) destinee a stocker des adresses physiques (AA,92) de ces 

informations definissant leur position dans la premiere zone m6moire (41), 

ces adresses physiques etant situees en une position qui est fonction des 

adresses logiques respectives des informations ; 
15 -stocker aleatoirement dans la seconde zone memoire (42) les 

adresses logiques (83,86) des informations pour definir des adresses 

physiques de ces informations ; et 

-stocker les informations dans la premiere zone m§moire (41 ) en une 

position qui est fonction de leurs adresses physiques respectives. 

20 

4. Procede d'exploitation d'informations dans des moyens de stockage 
d'information d'un module de securite, dans lequel on a defini, dans les 
moyens de stockage (10,14), une premiere zone memoire (41) destin6e a 
stocker des informations (a,b,c ; d.e.f), accessibles en designant des 

25 adresses logiques (83,86) et on a defini, dans les moyens de stockage 
(10,14), une seconde zone memoire (42) destinee a stocker des adresses 
physiques (83,86) de ces informations definissant leur position dans la 
premiere zone memoire (41 ), ces adresses physiques etant situees en une 
position qui est fonction des adresses logiques respectives des informations, 

30 caracterise en ce qu'il comprend Tetape consistant d acceder a toute 
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information (a,b,c ; d,e,f) designee par son adresse logique (83,86) en lisant 
son adresse physique (AA,92) dans la seconde zone memoire (42). 

5. Proc6d6 d'exploitation selon la revendication 4, comprenant T§tape 
consistant a modifier periodiquement et de fagon aleatoire la position des 
adresses physiques (AA, 92) des unites d'information (a.b.c ; d,e,f) dans la 
seconde zone m6moire (42), et a modifier de fagon correspondante la 
position des unites d'information dans la premiere zone memoire (41). 

6. Proc6de Sexploitation selon la revendication 5, dans lequel la 
modification periodique de la position des adresses physiques (AA.92) et 
des unites d'information (a.b.c ; d,e,f) est declenchee lors du traitement 
d'une information sensible. 

7. Precede d'exploitation selon la revendication 5, consistant a 
permuter deux a deux les adresses physiques (AA, 92) des unites 
d'information (a,b,c ; d.e.f) dans la seconde zone memoire (42) et, aprfes 
chaque permutation, permuter les deux unites d'information correspondantes 
dans la premiere zone memoire (41 ). 

8. Procede d'exploitation selon la revendication 4, dans lequel on 
stocke dans la premiere zone memoire (41) des unites d'information (a,b,c) 
ayant une taille inferieure a une taille des informations (a.b.cAe.f), lesdites 
unites d'information etant accessibles en designant lesdites adresses 
logiques (83,86) et etant stockees dans une position definie par lesdites 
adresses physiques (AA.92). 

9. Procede d'exploitation selon la revendication 8, dans lequel lesdits 
moyens de stockage comprennent plusieurs cellules (45,47) et chaque 
unite d'information a une taille telle qu'elle est stockee dans une seule 
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cellule (47) de la premiere zone memoire (41) et son adresse physique est 
stockee dans une seule cellule (48) de la seconde zone m§moire (42). 
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